Mozilla, desarrolladora de Firefox, reveló que una versión temprana de la IA Claude Mythos de Anthropic identificó 271 vulnerabilidades en el navegador Firefox durante pruebas internas, todas las cuales fueron corregidas esta semana.

Resumen

• Mozilla dijo que la IA Claude Mythos de Anthropic identificó 271 vulnerabilidades en Firefox durante pruebas internas, todas corregidas esta semana.
• El modelo mostró que puede escanear grandes bases de código y detectar fallos de seguridad más rápido que las revisiones tradicionales lideradas por humanos, aunque ningún hallazgo fue más allá de lo que los investigadores de élite podrían descubrir.

Los hallazgos señalan cómo los sistemas de IA avanzados están comenzando a escanear grandes bases de código a una escala que antes dependía de largas horas de trabajo manual por parte de investigadores en ciberseguridad. Mozilla afirmó que incluso los objetivos de software más reforzados ahora pueden ser examinados con mayor profundidad en menos tiempo.

“Mientras estas capacidades llegan a manos de más defensores, muchos otros equipos están experimentando el mismo vértigo que nosotros cuando los hallazgos comenzaron a centrarse,” escribió Mozilla. “Para un objetivo reforzado, solo un error así habría sido una alerta roja en 2025, y tantos a la vez te hacen detenerte a preguntarte si incluso es posible mantenerse al día.”

Pruebas anteriores con otro modelo de Anthropic habían descubierto 22 errores sensibles a la seguridad en una versión anterior de Firefox. A pesar de ese progreso, Mozilla señaló que eliminar por completo las explotaciones de software ha sido durante mucho tiempo considerado poco realista.

“Hasta ahora, la industria ha luchado en gran medida por un empate en seguridad,” escribió la compañía. “Los proveedores de software crítico expuesto en internet como Firefox toman la seguridad muy en serio y cuentan con equipos de personas que se levantan cada mañana pensando en cómo mantener seguros a los usuarios.”

La IA acelera el descubrimiento de vulnerabilidades pero persisten riesgos

Mozilla afirmó que el nuevo sistema puede revisar el código fuente y señalar debilidades de maneras que anteriormente requerían conocimientos humanos altamente especializados. Los resultados internos mostraron que el modelo no descubrió errores más allá del alcance de los investigadores de primer nivel.

“Algunos comentaristas predicen que futuros modelos de IA descubrirán formas completamente nuevas de vulnerabilidades que desafían nuestra comprensión actual, pero no pensamos que sea así,” dijo la compañía. “Software como Firefox está diseñado de manera modular para que los humanos puedan razonar sobre su corrección. Es complejo, pero no arbitrariamente complejo.”

Lanzado en marzo, Claude Mythos es descrito por Anthropic como su modelo más avanzado para tareas de razonamiento, codificación y ciberseguridad, por encima de su serie Opus anterior. Las pruebas previas a su lanzamiento sugirieron que podía identificar miles de vulnerabilidades desconocidas en sistemas operativos y navegadores.

El acceso al sistema sigue siendo limitado a través de una iniciativa restringida conocida como Project Glasswing, que permite a empresas seleccionadas, incluyendo Amazon, Apple y Microsoft, escanear software en busca de fallos de seguridad.

Los investigadores de seguridad advierten que la misma capacidad podría usarse de forma ofensiva. Las herramientas de IA que pueden analizar código a gran escala también podrían automatizar el descubrimiento de errores explotables en sistemas de software ampliamente utilizados.

Pruebas del Instituto de Seguridad de IA del Reino Unido demostraron que el modelo podía realizar operaciones cibernéticas complejas por sí solo, incluyendo completar una simulación de ataque en red corporativa de múltiples etapas sin intervención humana. Esos resultados han llamado la atención de gobiernos y agencias de inteligencia.

A pesar de tensiones previas con la administración de Donald Trump por el uso de la tecnología de Anthropic, la Agencia de Seguridad Nacional (NSA) ha desplegado Claude Mythos Preview en redes clasificadas, según personas familiarizadas con el asunto. La medida indica un interés creciente entre las agencias estadounidenses en herramientas de IA que puedan detectar vulnerabilidades críticas en software.

Anthropic también ha reconocido que los estándares actuales de ciberseguridad están luchando por mantenerse al ritmo de sus modelos más recientes, lo que plantea preguntas sobre cómo medir el rendimiento de la IA en este campo.

Mozilla afirmó que los resultados sugieren un posible punto de inflexión, donde los defensores podrían comenzar a reducir la brecha de larga data con los atacantes.

“Estamos muy orgullosos de cómo nuestro equipo enfrentó este desafío, y otros también lo harán,” escribió la compañía.

“Nuestro trabajo no ha terminado, pero hemos dado la vuelta a la esquina y podemos vislumbrar un futuro mucho mejor que solo mantenernos al día. Los defensores finalmente tienen la oportunidad de ganar, de manera decisiva.”